文件上传-后端验证

以下全以PHP代码为例

1、Content-Type(MIME检测)

原理:

数据包会根据文件后缀来确定文件类型(Content-Type)

网站服务器(后端)通过Content-Type来验证文件是否合法

php 复制代码
<?php
if($_FILES['a']['type'] != "image/gif")
{
    die("Sorry,we only allow uploading GIF images");
}    
?>

绕过:

修改Content-Type为允许的格式(常见image/png)

2、文件后缀

原理:

后端代码通过文件后缀来验证文件是否合法

绕过:

  • 大小写(有些情况无法解析.Php)

  • php5、php7(有些情况无法解析.Php)

  • .htaccess(限于Apache,Nginx很少支持)

  • .user.ini(PHP环境均可以)

    目标目录下index.php调用了.user.ini

    上传.user.ini(auto_prepend_file=1.png)

    上传允许的文件格式1.png(1.png中存在后门代码)

3、文件内容验证

**测试限制内容:**先随便输点数据(111能否上传)看是否为内容验证,依次去除一句话木马的各部分,判断限制了哪些内容。

**原理:**正则表达式匹配。

绕过:

  • 更换一句话木马写法(4种,待补充)
  • 命令变量分割( a = ' e v a ' . ' l ' ; a='eva'.'l'; a='eva'.'l';a(POSTxxx))
  • 尝试其他语言代码(不推荐,实在没办法了再尝试)
  • 日志+UA头木马
  • 远程包含绕过(过滤点,可以使用长地址)

4、文件头

前面测试都无法上传,尝试添加文件头

**绕过:**添加合法文件头(比如GIF89A)

5、删除上传文件

  1. 什么都删除
  2. 判断后门、删除
    • 上传.user.ini直接包含远程文件

绕过:

  • 条件竞争:上传前持续访问,上传一瞬间访问执行

    执行创建新文件的代码

    执行先读取再发送到远程服务器的代码

相关推荐
MartinYeung56 小时前
[论文学习]LLM-based AI Agent 安全威胁与防御系统性综述
人工智能·学习·安全
阿米亚波7 小时前
【C++ STL】std::deque
数据结构·c++·笔记·算法·stl
再玩一会儿看代码7 小时前
JUnit 测试框架详解:从实际开发、业务测试到 Java 面试高频问题
java·经验分享·笔记·junit·面试
巴巴媛6667 小时前
STM32学习笔记【36.CAN收发实验】
笔记·stm32·学习
xian_wwq7 小时前
【学习笔记】分布式推理:TP / PP / EP / CP 并行策略详解(20/35)
笔记·分布式·学习·ai
不会C语言的男孩7 小时前
TCP通信可视化工具,含下载地址
服务器·网络·安全
凉、介8 小时前
Linux 设备驱动匹配机制
linux·笔记·单片机·学习·操作系统·嵌入式
小崔聊喷画8 小时前
山东铝板板材打印技术白皮书:从材料特性到行业应用全解析
其他
白鳯8 小时前
《索拉里斯星》星海未知处,爱与理性的边界
程序人生·其他·读书·感悟·科幻小说·索拉里斯星·莱姆
AIHR数智引擎8 小时前
15%对撞40%:WEF白皮书里的AI组织隐忧
数据库·人工智能·经验分享·职场和发展·aihr